Hvad er cyber kill chain?

I 2011 tilpassede Lockheed Martin et militært koncept kaldet kill chain til branchen for cybersikkerhed og kaldte det cyber kill chain. Ligesom kill chain identificerer cyber kill chain faserne i et angreb og giver forsvarere indsigt i deres modstanderes typiske taktikker og teknikker i hver fase. Begge modeller er også lineære med forventningen om, at hackere følger hver fase sekventielt.

Siden cyber kill chain først blev introduceret, har cybertrusselsaktører udviklet deres taktik og følger ikke altid alle trin i cyber kill chain. Som svar har sikkerhedsbranchen opdateret sin tilgang og udviklet nye modeller. MITRE ATT&CK®-matrixen er en detaljeret liste over taktikker og teknikker, der er baseret på reelle angreb. Den bruger lignende faser som cyber kill chain, men følger ikke en lineær rækkefølge.

I 2017 udviklede Paul Pols i samarbejde med Fox-IT og Leiden University en anden struktur, den samlede kill chain, som kombinerer elementer fra både MITRE ATT&CK-matrixen og cyber kill chain i en model med 18 faser.

Rekognoscering

Cyber kill chain definerer en sekvens af cyberangrebsfaser med det formål at forstå cyberangrebenes tankesæt, herunder deres hensigter, værktøjer, metoder og teknikker, hvordan de træffer beslutninger, og hvordan de undgår registrering. Ved at forstå, hvordan cyber kill chain fungerer, kan forsvarere stoppe cyberangreb i de tidligste stadier.

I bevæbningsfasen, bruger aktører med ondsindede hensigter de oplysninger, de har fundet under rekognosceringen, til at skabe eller modificere malware, så de bedst muligt udnytter den pågældende organisations svagheder.

Når de har bygget malware, forsøger cyberangribere at starte deres angreb. En af de mest almindelige metoder er at bruge social engineering-teknikker som f.eks. phishing- for at narre medarbejdere til at overdrage deres logonoplysninger. Aktører med ondsindede hensigter kan også få adgang ved at drage fordel af en offentlig trådløs forbindelse, der ikke er særlig sikker eller udnytter en software- eller hardwaresårbarhed, der er opdaget under rekognoscering.

Når cybertruslerne har infiltreret organisationen, bruger de deres adgang til at flytte senere fra system til system. Deres mål er at finde følsomme data, yderligere sårbarheder, administrative konti eller mailservere, som de kan bruge til at beskadige organisationen.

I installationsfasen installerer aktører med ondsindede hensigter malware, der giver dem kontrol over flere systemer og konti.

Når cyberangribere har fået kontrol over et betydeligt antal systemer, opretter de et kontrolcenter, der gør det muligt for dem at arbejde eksternt. I denne fase bruger de sløring til at dække deres spor og undgå registrering. De bruger også Denial of Service-angreb til at distrahere sikkerhedsmedarbejdere fra deres sande mål.

I denne fase tager cyberangribere skridt til at nå deres primære mål, som kan omfatte angreb på forsyningskæden, dataudtrækning, datakryptering eller datadestruktion.

Selvom Lockhead Martins oprindelige cyber kill chain kun indeholdt syv trin, har mange cybersikkerhedseksperter udvidet den til otte for at tage højde for de aktiviteter, som dårlige agenter udfører for at generere indtægter fra angrebet, f.eks. at bruge ransomware til at udtrække en betaling fra deres kriminelle eller sælge følsomme data på det mørke internet.

En forståelse af, hvordan cybertrusler planlægger og udfører deres angreb, hjælper cybersikkerhedseksperter med at finde og afhjælpe sikkerhedsrisici i hele organisationen. Det hjælper dem også med at identificere indikatorer for et kompromis i de tidlige faser af et cyberangreb. Mange organisationer bruger modellen til cyber kill chain til proaktivt at implementere sikkerhedsforanstaltninger og til at vejlede reaktion på hændelser.

Oplysninger om trusler

Et af de vigtigste værktøjer til at beskytte en organisation mod cybertrusler er efterretninger om cybertrusler. Gode løsninger til efterretninger om cybertrussel syntetiserer data på tværs af en organisations’miljø og leverer handlingsrettet indsigt, der hjælper sikkerhedsmedarbejdere med at registrere cyberangreb tidligt.

Aktører med ondsindede hensigter infiltrerer ofte en organisation ved at gætte eller stjæle adgangskoder. Når de kommer ind, forsøger de at eskalere rettigheder for at få adgang til følsomme data og systemer. Løsninger til Identitets- og adgangsadministration: Få mere at vide om, hvordan IAM sikrer, administrerer og definerer brugerroller og adgangsrettighederidentitets- og adgangsadministration hjælper med at registrere unormal aktivitet, der kan være tegn på, at en uautoriseret bruger har fået adgang. De tilbyder også kontroller og sikkerhedsforanstaltninger, f.eks. tofaktorgodkendelse, der gør det sværere for nogen at bruge stjålne legitimationsoplysninger til at logge på.

Mange organisationer er på forkant med de nyeste cybertrusler ved hjælp af en SIEM-løsning (Security Information and Event Management). SIEM-løsninger samler data fra hele organisationen og fra tredjepartskilder for at vise kritiske cybertrusler, så sikkerhedsteams kan prioritere og håndtere dem. Mange SIEM-løsninger reagerer også automatisk på visse kendte trusler, hvilket reducerer antallet af hændelser, som et team skal undersøge.

I en hvilken som helst organisation er der hundredvis eller tusindvis af slutpunkter. Mellem de servere, computere, mobilenheder og IoT-enheder (Tingenes internet), som virksomheder bruger til at drive forretning, kan det være næsten umuligt at holde dem alle opdateret. Aktører med ondsindede hensigter ved dette, hvilket er grunden til, at mange cyberangreb starter med et kompromitteret slutpunkt. Løsninger til Slutpunktsregistrering og -svar: Udforsk, hvordan EDR-teknologi hjælper organisationer med at beskytte mod alvorlige cybertrusler, f.eks. ransomware.slutpunktsregistrering og -svar hjælper sikkerhedsteams med at overvåge dem for trusler og reagere hurtigt, når de opdager et sikkerhedsproblem med en enhed.

Udvidet registrering og svar (XDR): Få mere at vide om, hvordan XDR-løsninger giver trusselsbeskyttelse og reducerer svartiden på tværs af arbejdsbelastninger.XDR-løsninger tager slutpunktsregistrering og -svar et skridt videre med en enkelt løsning, der beskytter slutpunkter, identiteter, cloudapps og mails.

Det er ikke alle virksomheder, der har interne ressourcer til rådighed til effektivt at registrere og reagere på trusler. For at forbedre deres eksisterende sikkerhedsteam henvender disse organisationer sig til tjenesteudbydere, der tilbyder administreret registrering og svar. Disse tjenesteudbydere påtager sig ansvaret for at overvåge en organisations miljø og reagere på trusler.

Selv om forståelse af cyber kill chain kan hjælpe virksomheder og regeringer med proaktivt at forberede sig på og reagere på komplekse cybertrusler i flere faser, kan det at stole udelukkende på den gøre en organisation sårbar over for andre typer cyberangreb. Et par af de almindelige kritikpunkter af cyber kill chain er, at den er:

• Fokuseret på malware. Den oprindelige ramme for cyber kill chain er udviklet til at registrere og reagere på malware og er ikke så effektiv mod andre typer angreb, f.eks. at en uautoriseret bruger får adgang med kompromitterede legitimationsoplysninger.

• Ideel til perimetersikkerhed. Med fokus på at beskytte slutpunkter fungerede cyber kill chain-modellen godt, da der var en enkelt netværksgrænse at beskytte. Med så mange eksterne medarbejdere, cloudmiljøet og et konstant voksende antal enheder, der får adgang til en virksomheds aktiver, kan det være næsten umuligt at håndtere alle slutpunktssårbarheder.

• ikke udstyret til insidertrusler. Insidere, der allerede har adgang til nogle systemer, er sværere at registrere med en model til cyber kill chain. I stedet skal organisationer overvåge og registrere ændringer i brugeraktivitet.

• For lineær. Selvom mange cyberangreb følger de otte faser, der er beskrevet i cyber kill chain, er der også mange, der ikke eller kombinerer flere trin i en enkelt handling. Organisationer, der er for fokuserede på hvert af stadierne, kan overse disse cybertrusler.

Siden 2011, hvor Lockhead Martin første gang introducerede cyber kill chain, er der sket meget med teknologien og cybertruslerne. Cloudcomputing, mobilenheder og IoT-enheder har transformeret den måde, personer arbejder og virksomheder fungerer på. Aktører med ondsindede hensigter har reageret på disse nye teknologier med deres egne innovationer, herunder brug af automatisering og kunstig intelligens til at sætte skub i og forbedre deres cyberangreb. Cyber kill chain er et godt udgangspunkt for at udvikle en proaktiv sikkerhedsstrategi, der tager højde for cyberangriberens tankegang og mål. Microsoft Security tilbyder en samlet SecOps-platform, der samler XDR og SIEM i én løsning, der kan tilpasses, for at hjælpe organisationer med at udvikle et forsvar med flere lag, der beskytter alle faser i cyber kill chain. Og organisationer forbereder sig også på nye cybertrusler drevet af kunstig intelligens ved at investere i AI-drevne cybersikkerhedsløsninger, f.eks. Microsoft Security Copilot.